Si vous avez trop de temps libre et que vous souhaitez vider toute la base d’utilisateurs de Bumble et eviter de payer pour les fonctionnalites premium de Bumble Boost.

Si vous avez trop de temps libre et que vous souhaitez vider toute la base d’utilisateurs de Bumble et eviter de payer pour les fonctionnalites premium de Bumble Boost.

Au cadre d’la recherche de ISE Labs i  propos des applications de rencontres populaires (voir plus ici) , nous avons examine l’application Web et l’API de Bumble. Continuez a lire car nous montrerons comment un attaquant est en mesure de contourner le paiement Afin de avoir acci?s a diverses des fonctionnalites premium de Bumble Boost. Si ceci ne parait jamais assez interessant, decouvrez De quelle fai§on un attaquant peut vider toute la base d’utilisateurs de Bumble avec des informations utilisateur de base et des images, meme si l’attaquant est un utilisateur non verifie avec un compte verrouille. Alerte spoiler – nos images fantomes seront definitivement une chose.

Mises a jour – Au 1er novembre 2020, l’integralite des attaques mentionnees dans votre blog fonctionnaient forcement. Lors du nouveau test des problemes suivants le 11 novembre 2020, plusieurs problemes avaient ete partiellement attenues. Bumble n’utilise plus d’identifiants d’utilisateurs sequentiels et a foutu a jour le schema de chiffrement precedent. Ca signifie qu’un attaquant ne peut plus vider la base d’utilisateurs entiere de Bumble avec l’attaque tel decrit ici. J’ai demande d’API ne fournit plus la distance en miles – le suivi de l’emplacement par triangulation n’est donc plus une possibilite en utilisant la reponse de donnees de ce point de terminaison. Un attaquant va toujours utiliser le point de terminaison Afin de obtenir des renseignements telles que des likes Facebook, des photos et d’autres informations de profil telles que des centres d’interet pour nos rencontres. Ca fonctionne forcement Afin de un utilisateur verrouille non valide, de sorte qu’un attaquant est en mesure de creer votre nombre illimite de faux comptes pour vider nos donnees utilisateur. Cependant, les attaquants ne vont pas pouvoir le faire que Afin de les identifiants chiffres qu’ils possedent deja (qui seront mis a disposition des individus amis de vous). Il va i?tre probable que Bumble corrigera egalement votre probleme dans les prochains jours. Mes attaques contre le contournement du paiement Afin de des autres fonctionnalites premium de Bumble fonctionnent i  chaque fois.

API REST de retro-ingenierie

Mes developpeurs utilisent nos API REST Afin de dicter la maniere dont des differentes parties d’une application communiquent entre elles et peuvent etre configurees Afin de permettre a toutes les applications cote client d’acceder aux donnees des serveurs internes et d’effectuer des actions. Prenons un exemple, des operations telles que le balayage des utilisateurs, le paiement des fonctionnalites premium et l’acces a toutes les photos des utilisateurs, se produisent via des requi?tes a l’API de Bumble.

Comme les appels REST sont sans etat, Cela reste important que chaque point de terminaison verifie si l’emetteur en demande est autorise a effectuer une action donnee. De surcroit, meme si les applications cote client n’envoient normalement aucune requetes dangereuses, nos attaquants peuvent automatiser et manipuler des appels d’API Afin de effectuer des actions involontaires et recuperer des donnees non autorisees. Ca explique certaines des failles potentielles de l’API de Bumble impliquant une exposition excessive a toutes les https://besthookupwebsites.org/fr/recon-review informations et un manque de limitation de debit.

Du fait que l’API de Bumble n’est pas documentee publiquement, nous devons proceder a l’ingenierie inverse de leurs appels d’API pour comprendre De quelle fai§on le systeme traite les donnees des utilisateurs et les demandes cote client, d’autant plus que notre objectif final reste de declencher des fuites de informations involontaires.

Normalement, la premiere etape consiste a intercepter les requetes HTTP envoyees de l’application mobile Bumble. Cependant, comme Bumble a une application Web et partage le aussi schema d’API que l’application mobile, nous allons prendre la voie la moins complique et intercepter l’integralite des demandes entrantes et sortantes via Burp Suite .

Explorer Bumble Boost

Mes services premium Bumble «Boost» coutent 9,99 $ par semaine. Nous nous concentrerons sur la recherche de solutions de contournement pour les fonctionnalites Boost suivantes:

  1. Votes illimites
  2. Retour en arriere
  3. Ligne droite
  4. Filtrage avance illimite – sauf que nous sommes egalement curieux de connaitre la totalite des utilisateurs actifs de Bumble, leurs interets, le type d’individus qui les interessent et si nous pouvons potentiellement trianguler leurs emplacements.

L’application mobile de Bumble a une limite concernant le nombre de balayages a droite (votes) que vous pourrez choisir pendant la journee. Un coup que nos utilisateurs ont atteint leur limite de balayage quotidienne (environ 100 balayages a droite), ils doivent tarder 24 heures pour que leurs balayages se reinitialisent et se voient montrer de nouvelles correspondances potentielles. Mes votes sont traites a l’aide en demande suivante via l’ SERVER_ENCOUNTERS_VOTE action de l’ utilisateur ou si:

  • «Vote»: 1 – L’utilisateur n’a jamais vote.
  • “Vote”: 2 – L’utilisateur a glisse a droite via l’utilisateur avec le person_id
  • “Vote”: 3 – L’utilisateur a glisse vers la gauche dans l’utilisateur avec le person_id

Leave a Comment

Your email address will not be published. Required fields are marked *